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Verfahren zur Aufzeichnung eines Verbrauchswertes und 
Verbrauchszahler mit einem Mefcwertgeber 



Beschreibung 

Die Erfindung betrifft ein Verfahren zur Aufzeichnung eines Verbrauchs- 
wertes, gemafi der im Oberbegriff des Anspruchs 1 angegebenen Art und 
einen Verbrauchszahler mit einem Mefcwertgeber, gemaft der im Ober- 
begriff des Anspruchs 10 angegebenen Art. Der Verbrauchszahler hat 
einen Sicherheitsmodul zur Erhohung der Falschungssicherheit. Ein 
solcher kann in Verbrauchszahlern und ahnlichen Geraten eingesetzt 
werden, die in einer potentiell unfreundlichen Umgebung, beispielsweise 
in Maschinenbaubetneben, in offentlichen oder privaten Gebauden, 
arbeiten. 
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Bei der Postbearbeitung, bei welcher ebenfalls eine hohe Falschungs- 
sicherheit gefordert wird, kommen bereits kryptographische Sicherheits- 
mallnahmen bei einer Abrechnung von Frankierungen und bei der 
Erzeugung einer fur einen jeden Frankierabdruck einzigartigen Markierung 
zum Einsatz. 

Unter dem Titel: "Methode and arrangement for generating and checking 
a security imprint" wurde bereits in der US 5.953.426 ein spezielles Secret 
Key Verfahren vorgeschlagen. Der geheime Schlussel (Secret Key) wird 
in einer sicheren Datenbank an der Verifizierungsstelle, typischerweise bei 
der Postbehorde, aufgehoben und damit geheim gehalten. Aus den Daten 
einer zu ubermittelnden Botschaft wird ein Data Authentication Code 
(DAC) gebildet, der in eine Markierungssymbolreihe umgesetzt wird, 
welche dann als sogenannte digitale Unterschrift zur Authentifikations- 
prufung der Botschaft verwendet werden kann. Dabei wird der auch aus 
der US 3,962,539 bekannte Data Encryption Standard (DES)-Algorithmus 
angewendet. Letzterer ist der bekannteste symmetrische Kryptoalgorith- 
mus. Mit einem symmetrischen Kryptoalgorithmus lassen sich bei Daten 
des o.g. DAC oder bei Mitteilungen ein Message Authentifications Code 
(MAC) erzeugen, wobei solche Code zur Authentifikationsprufung verwen- 
det werden. Beim symmetrischen Kryptoalgorithmus steht dem Vorteil 
eines relativ kurzen MAC'S der Nachteil eines einzigen geheimen 
Schlussel gegenuber. 

Der Vorteil eines asymmetrischen Kryptoalgorithmuses wird durch einen 
offentlichen Schlussel begrundet. Ein bekannter asymmetrischer Krypto- 
algorithmus, der nach den Namen seiner Erfinder R.Rivest, A.Shamir und 
LAdleman benannt und im US 4,405,829 beschrieben wurde, ist der 
RSA-Algorithmus. Bekanntlich entschlusselt der Empfanger mit einem 
privaten geheimen Schlussel eine verschlusselte Nachricht, welche beim 
Sender mit einem offentlichen Schlussel verschlusselt wurde. Der 
Empfanger halt seinen privaten Schlussel geheim, aber verschickt den 
zugehorigen offentlichen Schlussel an potentielle Absender. RSA war das 
erste asymmetrische Verfahren, das sich sowohl zur Schlussel- 
ubermittlung als auch auch zur Erstellung digitaler Unterschriften eignete. 
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Mit dem privaten Schlussel lassen sich ebenfalls digitale Unterschriften 
erzeugen, wobei die offentlichen Schlussel zur Authentifikation der 
Signatur dienen. Sowohl RSA, wie auch digitale Signatur-Algorithmen 
benutzen zwei Schlussel, wobei einer der beiden Schlussel dffentlich ist. 
Der Schlusseleinsatz erfolgt hierbei in der umgekehrten Reihenfolge. Die 
Implementation des RSA-Algorithmus in einem Computer ergibt aber eine 
auSerordentlich langsame Abarbeitung und liefert eine lange Signatur. 
Es wurde schon ein Digital Signatur Standard (DSS) entwickelt, der eine 
kurzere digitale Unterschrift liefert und zu dem der Digital Signatur 
Algorithm (DSA) nach US 5,231,668 gehort. Diese Entwicklung erfolgte 
ausgehend von der Identifikation und Signatur gemafc dem Schnorr- 
Patent US 4,995,085 und ausgehend vom Schlusseltausch nach Diffie- 
Hellman US 4,200,770 bzw. vom EIGamal-Verfahren (El Gamal, Taher, "A 
Public Key Cryptosystem and a Signatur Scheme Based on Diskrete 
Logarithms", 1111 Transactions and Information Theory, vol. IT-31, No. 4, 
Jul. 1985). Beim asymmetrischen Kryptoalgorithmus steht dem Vorteil des 
Verwendens eines offentlichen Schlussels der Nachteil einer relativ 
langen digitalen Unterschrift gegeniiber. 

In der US 6.041.704 wurde unter dem Titel: "Methode for operating a 
digitally printing postage meter to generate and check a security imprint" 
vorgeschlagen, ein modifiziertes Public Key-Verfahren fur eine kurzere 
Signatur zu verwenden. Jedoch ist nur mit au&erordentlich schnellen 
Prozessoren eine aulierordentlich lange andauernde Datenverarbeitung 
zu vermeiden. Urn den geheimen privaten Schlussel vor einem Diebstahl 
aus einem Computer oder aus einer Frankiermaschine zu schutzen, muB 
ein Sicherheitsbereich geschaffen werden, denn die gesamte Sicherheit 
der Signatur beruht darauf, dass der private Schlussel nicht bekannt wird. 
Der dffentliche Schlussel konnte dagegen in einer Vielzahl von Post- 
institutionen zur Uberprufung der Signatur verwendet werden. Ein solcher 
Sicherheitsbereich wird in Geraten durch einen sogenannten Sicherheits- 
modul geschaffen. Nachteil ist, dass letzterer eine hohe Rechenleistung 
aufweisen muli, urn in Echtzeit oder in einer vertretbaren Zeitdauer die 
Datenverarbeitung abzuschlieBen. 
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Die Datenverarbeitung einer Hash-Funktion ist dagegen sogar um zwei bis 
vier GrSSenordnungen schneller als die Datenverarbeitung der digitalen 
Signatur oder der asymmetrischen Verschlusselung. Die Bildung einer 
Quersumme ist ein sehr einfaches Beispiel fur eine Hash-Funktion. Die 
Bytefolge einer Information wird einerseits zu einen Hashwert komprimiert 
und andererseits unterscheidet sich der Hashwert von anderen Hash- 
werten, die aus anderen Informationen gebildet wurden. Bei den in der 
Kryptografie genutzten Einweg-Hashfunktionen ist es nahezu unmoglich 
eine andere Bytefolge zu bilden, die denselben Hashwert ergibt. Die 
Einweg-Hashfunktionen sollen generell nicht umkehrbar sein. Eine von 
Ron Rivest im Jahre 1991 entwickelte Einweg-Hashfunktionen MD5 hat 
einen 128 Bit langen Hashwert soli aber nicht so sicher sein wie MD160 
Oder SHA (Secure Hash Algorithm). Die beiden letzteren verwenden einen 
160-Bit Hashwert. Der SHA wurde vom NIST unter Mitwirkung der NSA 
entwickelt und im Jahre 1994 publiziert. Der SHA ist Bestandteil des 
Digital Signatur Algorithm (DAS). Die gesammelten Aufzeichnungen kon- 
nen zur Inspektion an eine dritte Stelle versandt bzw. gesendet werden. 
An jede individuelle Aufzeichnung konnte ein Message Authentication 
Code (MAC) angehangt werden. Das erfordert eine zentrale Speicherung 
eines Geheimschlussels, welcher fur jeden Sicherheitsmodul einzigartig 
ist. 

Bei einer Frankiermaschine vom Typ JetMail wird bereits ein Sicherheits- 
modul (EP 1.035.513 A2, EP 1.035.516 A2, EP 1.035.517 A2, EP 
1.035.518 A2) eingesetzt, das einen symmetrischen Kryptoalgorithmus 
nutzt. Eine Schlusselubertragung zwischen dem Sicherheitsmodul und 
einer Datenzentrale erfolgt mittels einem DES-verschlusselten Datensatz, 
welcher aulierdem MAC-gesichert ist. Die kryptographische Berechnung 
ist aber nur eine der Sicherheitsmalinahmen bei einer Abrechnung von 
Dienstleistungen und Berechnung einer Gebuhr fur die Abgabe der 
Dienstleistungen sowie bei einer Obermittung des Abrechnungsergebnis- 
ses bzw. der Buchung zu einer entfernten Datenzentrale. Ein Sicherheits- 
modul muB auch einen physikalischen oder chemischen Angriff uber- 
stehen. Ein solcher Angriff kann ebenfalls detektiert und aufgezeichnet 
werden. 
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Aus der US 4,812,965 ist bereits ein System fur ein entfernte Inspektion 
eines Gerates bekannt geworden, welche das Erfordernis einer lokalen 
Inspektion reduziert. Jede Falschungshandlung wird von dem Gerat 
aufgezeichnet und zu einer zentralen Station ubermittelt. Jedoch schutzt 
diese Ldsung nicht gegen solche Angriffe, wie die „Man in the middle 
Atacke", die gestartet werden, wenn eine Information via Modem zur 
zentralen Station gesendet wird. 

Im EP 504 843 B1 (US 5.243.654) wurde bereits ein Gebuhrenerfas- 
sungssystem mit aus der Feme ruckstellbarer Zeitsperre und mit einem 
Gerat vorgeschlagen, das zur Abgabe einer verbuchbaren Grofte 
(Energie) ausgestattet ist, wobei der Benutzer eines Gerates dazu ge- 
zwungen ist, dem Datenzentrum regelmafcig den Stand der Abrechnungs- 
register mitzuteilen. Nachteilig ist, dass kein Sicherheitsmodul vorhanden 
ist und dass ein Benutzer eine Kombination in das Gerat eingeben muli. 

Als einzige SicherheitsmaRnahme ist ein Siegel oder eine Plombe am 
Verbrauchszahler vorgesehen. Bei einer Umgehung dieser Sicherheits- 
ma&nahme kann die Aufzeichnung des Verbrauchswertes in Falschungs- 
absicht manipuliert werden. Durch solche Manipulationen geht den 
(Energie-)Versorgungsunternehmen regelmaliig viel Geld verlohren. 
Wahrend den GroUkunden einerseits die Moglichkeit geboten wird, mit 
gunstigen Tarifen legal Geld zu sparen, wird Kleinkunden andererseits 
kein Anreiz geboten, verbilligte Tarife zu nutzen. Dabei ist offensichtlich 
nur zu Spitzenzeiten des Verbrauches beispielsweise die Energie teuerer 
bzw. die Dienstleistung schwieriger zu erbringen, was dann naturlich dem 
Kunden des Dienstleistungs- oder Versorgungsunternehmens in berech- 
tigter Weise in Rechnung gestellt wird. 

Es ist Aufgabe, ein Verfahren zur Aufzeichnung eines Verbrauchswertes 
mit hoher Falschungssicherheit zu schaffen, welche fur den Kunden eine 
Gebuhrenabrechnung vereinfacht oder kostensparend durchzufuhren 
gestattet und dass fur eine automatische und sichere Kommunikation mit 
einem entfernten Server des Dienstleistungs- oder Versorgungsunter- 
nehmens geeignet ist. 
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Es ist weiterhin Aufgabe, einen Verbrauchszahler mit einem MeSwert- 
geber zu schaffen, wobei feststellt werden kann, wenn am Verbrauchs- 
zahler manipuliert wird. Durch eine Vielzahl an unterschiedlichen temporar 
gultigen Tarifen soli auch dem Kleinkunden gestattet werden, Geld einzu- 
paren. Dabei soil der lokale Aufwand mogl.ichst gering sein. 

Die Aufgabe wird mit den Merkmalen des Anspruchs 1 fur das Verfahren 
bzw. mit den Merkmalen des Anspruchs 10 fur den Verbrauchszahler 
gelost. Letzterer wird mit einem Sicherheitsmodul ausgestattet. 
Ein Verbrauchszahler ist ein Gerat mit Zufuhr und Abgabe von Materie 
unter Ermittlung einer verbuchbaren Grofte. Ein Sicherheitsmodul ist ein 
Aufzeichnungsmodul fur die Buchung oder Abrechnung einer Abgabege- 
buhr, welches mit Sicherheitsmitteln ausgestattet ist. Ein Verbrauchs- 
zahler, beispielsweise ein Energiezahler, wird mit einem Sicherheitsmodul 
und mit einem Kommunikationsmittel ausgestattet, wobei letzteres eine 
automatische und sichere Kommunikation mit einem entfernten Server 
des Dienstleistungs- Oder Versorgungsunternehmens gestattet. Die Ermit- 
telung einer verbuchbaren GroBe, wie die Energie, erfordert eine 
Analog/Digital-Umwandlung mindestens einer analogen MeUgroUe und 
eine Berechnung nach einem ersten mathematischen Algorithmus. Der 
Sicherheitsmodul ist mit einem internen A/D-Wandler und mit einem 
Mikroprozessor ausgestattet, der zur Berechnung nach dem ersten 
mathematischen Algorithmus programmiert ist. Die dienstleistungs- bzw. 
verbrauchswertabhangige Abrechnung einer Abgabegebuhr, erfolgt 
basierend auf einer Echtzeit in temporar unterschiedlicher Weise. So 
konnen beispielsweise Tarife fur Tag und Nacht, Werktags und Wochen- 
ende, Sommer und Winter unterschiedlich sein. Der Sicherheitsmodul ist 
mit einer internen batterie-versorgten Echtzeituhr und einer Abrechnungs- 
einheit, zum Beispiel einer Hardwareabrechnungseinheit, ausgestattet. 
Nach Abrechnung der Abgabegebuhr nach zugehorigen Tarif entspre- 
chend der Verbrauchszeitdauer und der aktuellen Zeit erfolgt eine Bildung 
einer Nachricht zur Aufzeichnung mindestens der Abgabegebuhr. Die Auf- 
zeichnung kann neben der Abgabegebuhr, den Verbrauch, den zugehori- 
gen Tarif, die Verbrauchszeitdauer und die aktuelle Zeit enthalten. 
Vorzugsweise am Ende jedes Zeitabschnittes der Verbrauchszeitdauer 
erfolgt die Sicherung der Aufzeichnung durch einen Authentisierungscode. 
Die Zeitabschnitte werden periodisch und/oder ereignisbasierend gebildet. 
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Der Sicherheitsmodul ist zur Berechnung des Authentisierungscodes nach 
einem ersten kryptographischen Algorithmus programmiert. Der Sicher- 
heitsmodul ist mit einem Watchdogtimer ausgestattet, der die Kommuni- 
kationsmittel regelmaliig fur eine Kommunikation mit dem entfernten 
Server freischaltet. Ein gescheiterter Kommunikationversuch wird in Zeit- 
abstanden solange wiederholt, bis eine Verbindung zustande kommt oder 
bis ein Kreditrahmen uberschritten ist. In dem letzteren Fall, wird der 
Verbrauchszahler fur die Abgabe der Verbrauchswerte gesperrt. Der Ser- 
ver uberwacht, ob im erwarteten Zeitrahmen vom Verbrauchszahler des 
Kunden eine Meldung eingegangen ist und ob letztere authentisch ist. Die 
Meldung enthalt verschlusselte und zusatzlich mit einer digitalen Signatur 
gesicherte Daten, welche mittels des Mikroprozessors nach einem zweiten 
kryptographischen Algorithmus verschlusselt und nach einem dritten 
kryptographischen Algorithmus signiert werden. Der Mikroprozessor uber- 
wacht, ob an dem Verbrauchszahler oder am Sicherheitsmodul manipu- 
liert wurde. Beispielsweise ist ein Sensor zur Ermittlung vorgesehen, ob 
der Verbrauchszahler illegal abgeklemmt oder via Bypass uberbrtickt 
wurde. Die Meldung an den Server enthalt entsprechend gesicherte 
Sensordaten. Der Server kann die Abgabe des Verbrauchswertes in 
Auswertung der ubermittelten Daten sperren. 

Fur die Meldung wird ein asymmetrisches Verschlusselungsverfahren als 
zweiter kryptographischer Algorithmus eingesetzt, urn einen verschlussel- 
ten Datensatz mit Abgabe- bzw. Verbrauchswerten, Zeitdaten, Sensor- 
daten ggf. Schlusseln u.a. Daten auszutauschen. Geeignet ist beispiels- 
weise das RSA-Verfahren, wobei beim Absender ein Datensatz mit einem 
Public Key des Empfangers verschlusselt wird. Beim Empfanger erfolgt 
eine Entschliissellung des verschlusselten Datensatzes erfolgt mit dem 
zugehdrigen Privat Key des Empfangers. 

Ein digitalen Signatur basierend auf einem dritten kryptographischen 
Algorithmus erfolgt beispielsweise mit dem umgekehrten RSA-Verfahren, 
wobei beim Absender ein gehashter Datensatz mit einem Privat key des 
Absenders verschlusselt wird und beim Empfanger mit dem zugehdrigen 
Public Key des Absenders entschlusselt wird. Der auf vorgenannte Weise 
wiedergewonnene gehashte Datensatz wird mit einem gehashten 
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Vergleichsdatensatz verglichen. Der Vergleichsdatensatz wird beim Em- 
pfanger aus dem verschlusselten Datensatz durch Entschlusselung und 
Anwendung der gleichen Hash-Funktion erzeugt. Bei Ubereinstimmung 
des wiedergewonnenen gehashten Datensatzes mit dem gehashten 
Vergleichsdatensatz gilt die vom Server empfangene Meldung als 
authentisch und die ubermittelten Werte werden gespeichert. 

Vorteilhafte Weiterbildungen der Erfindung sind in den Unteranspruchen 
gekennzeichnet bzw. werden nachstehend zusammen mit der 
Beschreibung der bevorzugten Ausfuhrung der Erfindung anhand der 
Figuren naher dargestellt. Es zeigen: 

Figur 1 , Darstellung eines bekannten RSA-Verfahrens, 

Figur 2, Darstellung eines Signier-Verfahrens unter Anwendung von RSA, 

Figur 3, Darstellung des Schlusseltausches, 

Figur 4, Darstellung des Systems fur eine kryptigraphisch gesicherte 
Kommunikation, 

Figur 5, Darstellung eines Verbrauchszahlers, 

Figur 6, Blockschaltbild eines Energieverbrauchszahlers, 

Figur 7, Blockschaltbild eines Sicherheitsmoduls. 

In der Figur 1 wird der FluBplan eines Public Key-Verfahrens am Beispiel 
von RSA erlautert. Die Anwendung asymmetrischer Verschlusselungs- 
algorithmen (RSA, EIGamal) erfordert die Generierung eines 
Schliisselpaares: 

(ek, dk) ^ genKey(k). (1) 

Ein VerschlQsselungsschlussel ek ist offentlich und ein Entschlusselungs- 
schltissel dk ist privat. Der offentliche VerschlQsselungsschlussel ek, n 
wird zum Teilnehmer am Absendeort einer Mitteilung ubermittelt. Dabei ist 
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beispielsweise durch einen authentischen Kanal oder ein Zertifikat zu 
sichern, dass der offentliche Verschlusselungsschliissel nicht zwischen 
Bestimmungsort und Absendeort ausgetauscht wird und im Rahmen einer 
„man in the middle attack" mifcbraucht wird. Zur Verschlussellung der 
Mitteilung m am Absendeort zum Chiffriertext c ist eine mathematische 
Operation vorgesehen: 

c <- encrypt (ek, m) (2) 

Bei RSA kommt eine sogenannte modulare Arithmetik bzw. Kongruenz- 
rechnung zum Einsatz. Zwei naturliche Zahlen a und c hei&en kongruent 
modulo n, wenn a und c den gleichen Rest bei einer Teilung durch n 
lassen. Man setzt a = m ek und erhalt zum Beispiel: c s m (mod n) 

Der Chiffriertext c kann nun uber einen ungesicherten Kanal zum 
Bestimmungsort ubermittelt werden. Zur Entschliissellung des Chiffrier- 
textes c ist eine Operation vorgesehen: 

m <- decrypt (dk, c) (3) 

Der zweite Teilnehmer am Bestimmungsort entschlusselt mit seinem 

privaten Entschlusselungsschliissel dk den Chiffriertext c zur Mitteilung: 

m' = c dk (mod n). Letztere stimmt nach den Gesetzen der modularen 

dk 

Arithmetik mit der ursprunglichen Mitteilung m uberein, wenn m' und c 
kongruent modulo n. Es gilt somit: m = m'. 

In der Figur 2 wird der Flufcplan eines Signier-Verfahrens am Beispiel von 
RSA erlautert. Die Anwendung digitaler Signaturmechanismen (RSA, DSA 
oder ECDSA) erfordert ebenfalls die Generierung eines Schlusselpaares. 
Zunachst wird ein offentliche Verifizierschlussel vk, n zum zweiten Teil- 
nehmer am Bestimmungsort ubermittelt, beispielsweise uber einen 
authentischen Kanal oder ein Zertifikat gesichert. Ein Signierschlussel sk 
verbleibt als privater Schlussel des Sicherheitsmoduls am Absendeort 
eines ersten Teilnehmers und der Verifizierschlussel vk ist als offentlicher 
Schlussel zum Auswerten von digitalen Signaturen sig vorgesehen, die 
einer Mitteilung m (= message) zugeordnet sind. Die Mitteilung m und die 
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Signatur k6nnen nun uber einen ungesicherten Kanal zum zweiten 
Teilnehmer am Bestimmungsort iibermittelt werden. Zur Erzeugung einer 
Signatur sig durch den Sicherheitsmodul am Absendeort eines ersten 
Teilnehmers ist eine mathematische Operation vorgesehen: 

sig <- sign (sk, m) (4) 

Zur Verringerung der Lange einer Signatur sig wird zunachst auf die 
Mitteilung m eine Hash-Funktion angewendet: 

h = hash(m) (5) 

Zum Signieren am Absendeort eines ersten Teilnehmers kommt ein 
privater Signierschliissel sk des Sicherheitsmoduls und beispielsweise 
wieder die sogenannte modulare Arithmetik bzw. Kongruenzrechnung 
zum Einsatz: 

sk 

sig = h (mod n) (6) 



Zur Verifizierung einer Signatur sig am Bestimmungsort ist ein c-ffentlicher 
Verifizierschlussel vk, die unverschlusselte Mitteilung m und eine 
mathematische Operation der Art vorgesehen: 

acc <- verify (vk, m, sig). (7) 

wobei das Ergebnis wahr (gultig) oder falsch (ungultig) sein kann. Vor der 
Oberprufung wird auf die Mitteilung m eine Hash-Funktion angewendet: 

h = hash(m) (8) 

Der zweite Teilnehmer verifiziert am Bestimmungsort mit dem offentlichen 
Verifizierschlusselungsschlussel vk die Signatur sig zum Hashwert h\ 
welcher nach den Gesetzen der modularen Arithmetik mit dem aus der 

ursprunglichen Mitteilung m gebildeten Hashwert h ubereinstimmt, wenn 

vk 

h' und sig kongruent modulo n sind. Es gilt somit: 

h= h'E sig vk (mod n) (9) 

Fur h * h' gilt die Signatur sig oder Mitteilung m als nicht authentisch, 
aber anderenfalls fur h = h' als authentisch. 
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Es ist vorgesehen, dass jeder Kommunikationsteilnehmer mit einem 
Sicherheitsmodul bzw. einer Sicherheitsbox ausgestattet wird, welche vor 
der Kommunikation, in welcher eine Ubermittlung von Mitteilungen erfolgt, 
uber einen authentischen Kanal Offentliche Schlussel austauschen. Das 
kann vorzugsweise bei Verkaufer oder Handler des Sicherheitsmoduls ge- 
schehen oder beim Hersteller. 

Anhand der in der Figur 3 gezeigten Darstellung wird der Schlusseltausch 
zwischen einem Sicherheitsmodul und einer Sicherheitsbox naher 
erlautert. Zunachst wird jeweils in Beiden ein Schlusselpaar generiert. Das 
Sicherheitsmodul SM generiert einen offentlichen Verschlusselungs- 
schlussel eksM und einen privaten Entschlusselungsschlussel dk S M- Das 
Sicherheitsmodul SM generiert weiterhin einen offentlichen Verifizier- 
schlussel vk SM und einen privaten Signierschlussel sk SM - Die 
Sicherheitsbox BOX generiert einen 6ffentlichen Verschlusselungs- 
schlussel ek B ox und einen privaten Entschlusselungsschlussel dk B ox- Die 
Sicherheitsbox BOX generiert weiterhin einen Offentlichen Verifizier- 
schliissel vk B ox und einen privaten Signierschlussel sk B ox- Die offentlichen 
Schlussel werden zum jeweiligen Kommunikationsteilnehmer ubermittelt. 
Von der Sicherheitsbox BOX 200 zum Sicherheitsmodul SM 100 werden 
der offentliche Verschlusselungsschlussel ek B ox und der offentliche 
Verifizierschlussel vk B ox ubermittelt und dort gespeichert. Von dem 
Sicherheitsmodul SM 100 zur Sicherheitsbox BOX 200 werden der 
offentliche Verschlusselungsschlussel ek SM und der Offentliche Verifizier- 
schlussel vksM ubermittelt und dort gespeichert. 

In der Figur 4 wird eine Darstellung des Systems fur eine kryptigraphisch 
gesicherte Kommunikation uber einen ungesicherten Kanal gezeigt. Der 
Verbrauchszahlers 1 ist mit dem EVU-Server 2 via ISDN, DECT-Telefon, 
Internet, power line oder ein anderes Netz verbunden. Der Verbrauchs- 
zahler 1 hat ein Sicherheitsmodul SM 100, welches zur Ver-/Entschliissel- 
lung einer Mitteilung m mit einem offentlichen Verschlusselungsschlussel 
ek B ox der Sicherheitsbox BOX 200 ausgestattet ist. Nach einem auf den 
Gleichungen (2) bzw. (5) basierenden zweiten kryptographischen Algorith- 
mus wird erst ein Chiffriertext M1 gebildet und auf die Mitteilung m eine 
Hash-Funktion angewendet, wobei der Hashwert hi <r hash(m) entsteht. 
Nach einem auf den Gleichungen (4) und (5) basierenden dritten 
kryptographischen Algorithmus wird vom Sicherheitsmodul SM 100 eine 
Signatur sig S M <r sign[sk S M,h1] gebildet. Der Chiffriertext M1 und die 
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digitale Signatur sig S M werden als Datensatz D1 = M1, sig S M zur 
Sicherheitsbox des EVU-Servers 2 ubermittelt. Der EVU-Server 2 
entschlusselt mit seinem privaten Entschlusselungsschlussel dk B ox den 
Chiffriertext M1 zur Mitteilung ml und uberpruft deren Echtheit anhand 
der Signatur. Der EVU-Server 2 erzeugt eine Mitteilung m2 ubermittelt in 
einem Datzensatz D2 die zum Chiffriertext M2 verschlusselte Mitteilung an 
den Sicherheitsmodul. Die Mitteilung m2 kann einen Freischaltcode fur 
den Verbrauchszahler 1 einschlielien. Die Mitteilung ml enthalt Ver- 
brauchs- und Buchungsdaten bzw. Abgabewerte und Abrechnungswerte, 
Zeitdaten u.a. Daten. Sie kann vom EVU-Server weiter ausgewertet wer- 
den, urn eine Abrechnung entsprechend dem giiltigen Tarif zu erzeugen. 
Der zum Sicherheitsmodul SM 100 ubermittelte Datensatz D2 enthalt 
ebenfalls einen Chiffriertext M2 und die digitale Signatur sig B ox- Mittels der 
letzteren wird die Echtheit des Freischaltcodes verifizierbar. Beim Empfan- 
gen des kryptographisch gesicherten Freischaltcodes in Form eines 
zweiten Datesatzes D2 erfolgt eine Aufzeichnung der Anderung durch 
Rucksetzen der Abgabegebuhr auf Null, wenn der Freischaltcode echt 
war. Andernfalls wird der Verbrauchszahler gesperrt. 

Die Figur 5 zeigt eine Darstellung eines Verbrauchszahlers, zum Beispiel 
eines Strom- bzw. Energiezahlers 1 . Letzterer ist zwischen ein Stromkabel 
8 und ein Hausstromkabel 6 geschaltet und mit einer Anzeigeeinheit 4 fur 
den Energieverbrauch ausgestattet. Ein Sicherheitsgehause 10 des 
Strom- bzw. Energiezahlers 1 ist mit einem Sicherheitsschloss 9 
ausgestattet. Weitere Besonderheiten sind ein Fenster 7 fur eine zusatz- 
liche Statusanzeige des Sicherheitsmoduls (nicht sichtbar) und ein 
optionales Kabel 5 fur eine Kommunikationsverbindung mit einem EVU- 
Server zum Beispiel via ISDN-Telefonnetz. 

Die Figur 6 zeigt ein Blockschaltbild eines Energiezahlers 1. Letzterer 
konnte einen ublichen Haushaltszahler (Induktionszahler fur Einphasen- 
wechselstrom mit Ferrarismesswerk) ersetzen.^ Am Sicherheitsmodul 
konnte zur Detektion einer Manipulation der Schalter S1 angeschlossen 
werden, der beim Offnen des Sicherheitsgehauses 10 ebenfalls geoffnet 
wird. Die Statusanzeige mittels LED 107, 108 signalisiert ein unbefugtes 
Offnen auch nach dem Wiederschliessen des Sicherheitsgehauses 10. 
Hardwareseitig ist ein Ausloseschalter S2 fur das Zurucksetzen ange- 
schlossen. Er wird z.B. bei Schalten des Sicherheitsschlosses 9 in eine 
zweite Schaltstellung ausgelost. Ein Zurucksetzen des Status des SM 100 
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ist nur einem beauftragten Inspektor erlaubt, der einen entsprechenden 
Schlussel besitzt und eine Kommunikation mit dem EVU-Server auslost, 
um die Inspektion anzumelden bzw. mitzuteilen. Handelsubliche Mess- 
wertgeber 104, 105 fur Strom- oder Spannungsmessung liefern nach 
Vollweggleichrichtung ein analoges Mess-Signal i(t), u(t), welches per DA- 
Wandler 102, 103 in ein digitales Signal gewandelt und dann an die 
Dateneingange des Sicherheitsmoduls SM 100 angelegt wird. Die 
Momentanwerte derjenigen gleichgerichteten Spannung u(t), die beispiels- 
weise an einem Lastwiderstand R abfallt oder die sich aufgrund einer 
magnetischen Induktion fur eine Induktivitat L bei einem Laststrom i ergibt 
u(t) = Ldi/dt, werden unter Verwendung eines Multiplexers vom Mikro- 
prozessor des SM 100 abgetastet, wenn zwei Dateneingange wechsel- 
seitig abgetastet werden mussen. Nach Abtastung der Dateneingange 
und einer digitalen Multiplikation der Mess-Signale u(t) ■ i(t) erfolgt eine 
Aufsummierung fur eine jede halbe Periode T/2 des Einphasen- 
wechselstromes. Durch diese Momentanwertmultiplikation und zusammen 
mit einer kumulativen Abspeicherung der Summen der Betrage ergibt sich 
die wirksame Leistung P im Zeitbereich At = x-T. Die jeweiligen 
Momentanwerte werden in einem nichtfluchtigen Speicher addiert und das 
abgespeicherte Ergebnis wird angezeigt. Entsprechende Datenausgange 
des Sicherheitsmoduls SM 100 sind fur die Anzeigeeinheit 4 vorgesehen. 
Es sei t1 der Beginn und t2 das Ende des Zeitbereiches Ati = t2 - 11 , der 
eine Vielzahl x von Perioden T einschlielit, wobei ein erster Tarif fur die 
Abrechnung einer Abgabegebuhr F1 gultig ist. Weiterhin sei t3 der Beginn 
und t4 das Ende eines zweiten Zeitbereiches At 2 = t4 - t3, der ebenfalls 
eine Vielzahl x von Perioden T einschlie&t, wobei ein zweiter Tarif fur die 
Abrechnung einer Abgabegebuhr F2 gultig ist. Bei einem Ereignis, wie 
Tarif- oder Lastwechsel, erfolgt durch den Mikroprozessor des SM 100 
eine Berechnung der Abgabegebuhr nach dem zugehorigen Tarif entspre- 
chend der Verbrauchszeitdauer und eine Speicherung in separaten Spei- 
cherbereichen der nichtfluchtigen Speicher zusammen mit dem jeweils 
zugehorigen aktuellen Verbrauchswert V K . Eine weitere Abspeicherung 
von Nutzdaten kann erfolgen, um das Benutzerverhalten zu ermitteln bzw. 
um Marketingdaten abzuleiten. 

Vom Sicherheitsmodul wird ein Ereignis V K zum Zeitpunkt tj festgestellt, 
welches mindestens als Echtzeitnachricht aufgezeichnet werden muli. 
Hinzukommen weitere Daten, beispielsweise eine tarifabhangige Abgabe- 
gebuhr. Solche Datenelemente sind zum Beispiel: 
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#K: Sequenzzahler ('13'), 
R: Typbezeichner der Nachricht ('R' fur Realtime), 
V1 K : Verbrauchs- und Nutzdaten (Tages-Verbrauch.Mr. Pauschinger'), 
F1 K : Abgabegebuhr nach erstem Tarif ('Tages-Verbrauchsgebuhr'), 
V2 K : Verbrauchs- und Nutzdaten ('Nacht-Verbrauch.Mr. Pauschinger'), 
F2 K : Abgabegebuhr nach zweitem Tarif ('Nacht-Verbrauchsgebuhr'), 
tj: aktueller Echtzeitwert (dezimalisiert: '8491028108032001') mit 
fester Lange, 

A K : Authentisierungscode (dezimalisiert : '8023024892048398'), i.e. 
Unterschrift, typischerweise mit fester Lange, 

Im ersten Schritt vor der ersten kryptographischen Operation erfolgt eine 
Zusammenstellung einer 'Real-time'-Nachricht V1 K , F1 K , V2 K , F2 K> tj mit 
weiteren Daten #K, R, zum Bilden eines Datensatzes: 

INPUT = #K, R, V1 K , F1 K , V2 K , F2 K , tj (10) 
zum Beispiel sei #K = 13 fur eine 13.Aufzeichnung: 

INPUT = '1 3RTages-Verbrauch,Mr.PauschingerTages-Verbrauchsgebuhr 
Nacht-Verbrauch.Mr.PauschingerNacht-Verbrauchsgebuhr 8491028108032001 

Im zweiten Schritt erfolgt aus INPUT durch Bildung des Hashwertes eine 
Berechnung des Authentisierungscodes A K . 

A K < — hash(INPUT) (11) 

Zum Beispiel: 

A K = '8023024892048398'. 

Im dritten Schritt erfolgt ein Anfugen des resultierenden Authenti- 
sierungscodes A K an die Echtzeitnachricht. Zum Zeitpunkt tj lautet die 
Mitteilung ml mit der zu speichenden Nachricht also: 

ml = #K, R, V1 K . F1 K . V2 K , F2 K , tj, A K mit K = 13 (12) 

Ein Aufzeichnen umfalit ein Speichern von Echtzeit- und Gebuhrendaten. 
Periodisch erfolgt ein Ubertragen eines Datensatzes D1 vom Sicherheits- 
modul am Absendeort zu einer Sicherheitsbox eines EVU-Servers am 
Bestimmungsort. 
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Zur Vorbereitung der Erzeugung einer digitalen Signatur wird die 
Mitteilung ml gehasht: 

hi <r hash(ml) (13) 

In dem Sicherheitsmodul 100 liegen ein dffentlicher Verschlusselungs- 
schlussel ek B ox der Box und ein privater Signierschlussel sk S M des 
Sicherheitsmoduls 100 nichtfluchtig eingespeichert vor. Durch ein im 
internen Programmspeicher gespeichertes Programm ist der Mikropro- 
zessor des Sicherheitsmoduls 100 programmiert, als Authentifikations- 
maschine zu arbeiten. Die digitalen Signatur wird mit dem Signier- 
schlUssel sksM des Sicherheitsmoduls SM 100 gebildet: 

sigsM <r sign[sk SM ,h1] (14) 

Zur Vorbereitung der Clbermittelung der Nachricht an den Server 2 
verschlusselt der Mikroprozessor des Sicherheitsmoduls SM 100 die 
Mitteilung ml mit dem Verschiusselungschlussel ek B ox der Sicherheitsbox 
zum Chiffriertext M1: 

M1 <r encrypt[ek B ox, ml] (15) 
Der zu iibermittelnde Datensatz D1 lautet: 

D1 = M1,sig SM (16) 

Jeder Verbrauchszahler 1 enthalt eine Kommunikationseinheit 101 fur 
eine Kommunikation mit dem Server 2, der eine vergleichbare Kommuni- 
kationseinheit (nicht gezeigt) aufweist. In der Sicherheitsbox 200 des Ser- 
vers 2 liegen ein privater Entschlusselungsschlussel dk B ox der Box und 
ein offentlicher Verifizierschlussel vk S M des Sicherheitsmoduls 100 nicht- 
fluchtig eingespeichert vor. Durch ein im internen Programmspeicher 
gespeichertes Programm ist der Mikroprozessor der Sicherheitsbox 200 
programmiert, als Verifikationsmaschine zu arbeiten. Der Server 2 arbeitet 
angepalit an die jeweilige Art und Weise der Erzeugung der Aufzeich- 
nung. Wonach der durch den Server 2 aus dem Sicherheitsmodul 100 
abgerufene Aufzeichnungsstrom analysiert wird, hangt von der ent- 
sprechenden Anwendung ab. 
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Die Figuren 5 und 6 zeigen ein am Verbrauchszahler 1 angeschlossenes 
ISDN-Kabel 5. Es ist fur ein Ausfuhrungsbeispiel vorgesehen, dass die 
Kommunikationseinrichtung 101 ein Modem vorzugsweise ein ISDN- 
Modul ist, welches uber ein Telefon-/ISDN-Netz mit dem Server 2 
kommunikativ verbunden ist. Bei Kommunikation des Verbrauchszahlers 1 
mit dem EVU-Server 2 direkt via ISDN-Netz kann eine entsprechende 
Kommunikationseinheit 101 aus dem Telefon-/ISDN-Netz Oder uber eine 
Leitung 106 vom Netzteil Oder vom Hausstromkabel 6 mit Energie 
versorgt werden. 

Alternativ ist es moglich, einen vorhandenen Digital-Powerline-Dienst des 
Enegieversorgungsunternehmens (EVU) zu nutzen. Die Kommunikations- 
einrichtung 101 ist nun ein Power-line-Modul, der uber ein Enegierversor- 
gungsnetz mit dem Server 2 kommunikativ verbunden ist. Der Power-line- 
Modul ist entsprechend ausgebildet eine Nachricht mit Ubertragungsraten 
bis zu 1Mbit/s uber eine Leitung 106 via Stromkabel 8 zum EVU-Server 2 
zu ubertragen. Dabei werden die vorhandenen Stromversorgungskabel 
als physikalisches Tragermedium fur ein Kommunikationsnetzwerk ge. 
nutzt. Dabei entfallt naturlich das o.g. ISDN-Kabel 5. 
Eine weitere Alternative zur Vermeidung von Kabelverbindungen bietet ein 
2,4 GHz Bluetooth-Funkempfanger/Sender-Baustein, der als Kommunika- 
tionseinrichtung 101 eingesetzt wird. Es ist vorgesehen, dass die Kommu- 
nikationseinrichtung 101 im Sicherheitsmodul 100 integriert ist. Ein Blue- 
Tooth-Modul, der drahlos uber einen weiteren Blue-Tooth-Modul mit dem 
Server 2 kommunikativ verbunden werden soil, kann aber nur uber relativ 
kurze Entfernungen ca. 10 m mit einem gleichen Bluetooth-Baustein 
kommunizieren, so dass letzterer doch wieder an ein ISDN-Endgerat 
angeschlossen ist. Somit ist der weitere Blue-Tooth-Modul wieder uber ein 
Telefonnetz mit dem Server 2 kommunikativ verbunden. Zum Beispiel wird 
wieder das ISDN-Netz genutzt. 

Das Sicherheitsmodul SM 100 kann uber das Hausstromkabel 6 oder das 
Stromkabel 8 aus dem Energienetz mit Energie versorgt werden. Dazu ist 
ein Netzteil N 109 erforderlich, welches vorzugsweise so angeschlossen 
ist, dali der Stromkunde die Kosten tragt. Der MasseanschluB an Pin P23 
erhalt zum Beispiel das negative und der BetriebsspannungsanschluB an 
Pin P25 das positive Spannungspotential. Ein Elektrolytkondensator C 
puffert die Betriebsspannung. An den Anschlussen P1, P2 liegt eine 
Leiterschleife, die sich uber das gesamte Sicherheitsgehause erstreckt 
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und beim Zerstoren des Sicherheitsgehauses 10 unterbrochen wird. Es ist 
vorgesehen, dass der Verbrauchszahler 1 ein Sicherheitsgehause 10 
aufweist, welches den Sicherheitsmodul 100, eine Anzeigeeinheit 4 eine 
Zufuhr- und Abgabeeinrichtung 8, 6 und eine Kommunikationseinrichtung 
101 umschlie&t. Der Sicherheitsmodul 100 ist mit mindestens einem 
MeBwertgeber 104, 105, mit der Anzeigeeinheit 4 zur Anzeige eines 
Verbrauchswertes sowie mit Sicherheitsmitteln S1, S2, 18 verbunden. Der 
Sicherheitsmodul 100 weist einen nichtfliichtigen Speicher 124, 129 zur 
Speicherung temporar gultiger Tarife auf und ist programmiert, eine 
Abgabegebuhr basierend auf dem Verbrauchswert tarifabhangig zu 
berechnen und auf ein Ansprechen der Sicherheitsmittel S1, S2, 18 sowie 
auf Werte der Meliwertgeber 104, 105 zu reagieren, welche eine 
Manipulation in Falschungsabsicht signalisieren. Das Sicherheitsmodul 
enthalt intern eine Lithium-Batterie 134 zur Datenerhaltung der nicht- 
fliichtig gespeicherten Daten, urn eine Notversorgung bei Energieausfall 
zu ermoglichen. Bei den nichtfluchtig gespeicherten Daten wird zusatzlich 
zur kumulierten Leistung auch die Zeit gespeichert, so dafi eine Abtren- 
nung vom Energieversorgungsnetz nachtraglich unterschieden werden 
kann vom Spannungsausfall im Energieversorgungsnetz. Das Sicherheits- 
modul SM 100 schaltet bei fehlender Systemspannung einfach auf 
Notversorgung via Batterie 134 urn. 

Der Sicherheitsmodul 100 nimmt die Funktion eines Spannungswachters 
wahr, urn zu uberprufen, ob der Zahler abgeklemmt wurde oder nicht. Der 
Verbrauchszahler 1 hat mindestens einen Analog/Digital-Wandler 102, 
103, der mit dem mindestens einen Mefcwertgeber 104, 105 verbunden 
ist. Alternativ hat der Sicherheitsmodul 100 einen Analog/Digital-Wandler 
127 integriert, der mit den MeBwertgebern 104, 105 verbunden ist. Der 
Sicherheitsmodul 100 weist einen Echtzeitzahler 122 auf und der 
Sicherheitsmodul 100 nimmt die Funktion eines Watch dog Timers wahr, 
urn regelmafcig Zahlerstande an einen Server 2 zu ubermitteln. Dadurch 
dass das Sicherheitsmodul 100 einen Echtzeitzahler 122 aufweist, kann 
der Mikroprozessor des Sicherheitsmoduls 100 auf den temporar gultigen 
Tarif zugreifen, der im nichtfluchtigen Speicher gespeichert ist. Der 
Mikroprozessor des Sicherheitsmoduls 100 ist programmiert, eine 
AbgabegebOhr basierend auf dem Verbrauchswert tarifabhangig zu 
berechnen. 
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Die Figur 7 zeigt ein Blockschaltbild eines verbesserten Sicherheits- 
moduls SM 100. Beim unberechtigten Offen des Sicherheitsgehauses und 
/Oder entfernen des Sicherheitsmoduls 100 wird der Schalter S1 betatigt 
und eine Detektionseinheit 13 speichert das Ereignis nichtfluchtig. Bei 
einer Beschadigung des Sicherheitsgehauses 10, beispielsweise durch 
Bohren in das Sicherheitsgehause, wird eine an die Pins P1 und P2 
angeschlossenen Leiterschleife 18 geoffnet, uber welche im geschlos- 
senen Zustand zeitlich zuordenbare Impulse ubermittelt werden. Der 
Mikroprozessor empfangt die gesendeten Impulse zwecks Auswertung 
der Detektionsdaten hinsichtlich einer Beschadigung bzw. Manipulation 
am Sicherheitsgehause 10. Ein ordnungsgemal3.es Offnen/Schlie&en des 
Sicherheitsgehauses 10 wird mittels Ausloseschalter S2 detektiert. Die 
Schalter S1, S2 und die Leiterschleife 18 liegen an Ein/Ausgangen eines 
Ein/Ausgangsinterfaces 125 des Mikroprozessors 120. 
Als geeigneter Mikroprozessor pP 120 eignet sich der Typ S3C44A0X von 
Firma Samsung vor. Letzterer weist zusatzlich Analogeingange fur 
Analogwerte u(t), i(t), einen internen Multiplexer (nicht gezeigt) und einen 
internen AD-Wandler 127 auf, so dass separate AD-Wandler entfallen 
konnen. An den Analogeingangen werden 4 Leitungen fur die Analog- 
werte u(t), i(t) angeschlossen. Aulierdem wird mittels integriertem LCD- 
Controller (nicht gezeigt) eine am Ein/Ausgangsinterface 125 angeschlos- 
sene externe LCD-Anzeige 4 unterstutzt. Am Ein-/Ausgangsinterface 125 
sind externe Leuchtdioden 107, 108 zur Zustandsanzeige angeschlossen. 
Der Status des Sicherheitsmoduls 100 kann vorteilhaft uber eine Bicolor- 
Leuchtdiode anstelle der Leuchtdioden 107, 108 signalisiert werden. Eine 
Statusmeldung kann weitere Datenelemente umfassen, zum Beispiel: 

- Detektionsdaten einer Manipulation am Gehause, 

- Detektionsdaten einer Manipulation am Sicherheitsmodul, 

- Versionsnummer und Gultigkeitsdatum der Tarife, 

- Spitzenlast und Uhrzeit der Spitzenbelastung, 

- Nachster Kommunikationstermin usw. 

Mit den 60-bit general purpose I/O ports stehen genugend Ein/Ausgange 
am Mikroprozessor 120 zur Verfugung, urn eine Kommunikationseinheit 
101 und weitere E/A-Mittel direkt anzuschliessen. Vorteilhaft wird jedoch 
eine Anpassungslogig in Form des ASIC 150 und der programmierbaren 
Logik 160 zwischen Mikroprozessor 120 und Kommunikationseinheit 101 
geschaltet. Die Kommunikationseinheit 101 kann in das Sicherheitsmodul 
SM 100 integriert und ggf. als ASIC ausgefuhrt werden. Hierzu eignet sich 
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die moderne digitale Kommunikationtechnik, zum Beispiel ein Bluetooth- 
Modul. Letzterer gibt eine Sendeleistungen von ca. 1mW Uber eine kurze 
Antenne 51 ab. Die integrierte Echtzeituhr (Real Time Counter) 122 des 
Mikroprozessors 120 ubernimmt neben den oben beschriebenen Sicher- 
heitsfunktionen auch die Taktung der Kommunikation. Die Sicherheits- 
module 100 der Verbrauchszahler unterschiedlicher Kunden konnen an 
unterschiedlichen Tagen zur Kommunikation programmiert sein, so dass 
nicht alle gleichzeitig beim Server anrufen. 

Der EVU-Server 2 ubermittelt ggf. neue aktuelle Tarife, einschlie&lich 
Versionsnummer und Gultigkeitsdatum der Tarife, zwecks Speicherung im 
Sicherheitsmodul. Der Mikroprozessor hat hierzu ein internes RAM 124, 
welches batteriegestutzt ist. Wenn letzteres nicht ausreicht, wird ein wei- 
teres batteriegestutztes SRAM 129 in den Sicherheitsmodul integriert und 
arbeitet zusatzlich zum RAM 124 des Mikroprozessors 120, zwecks nicht- 
fluchtiger Speicherung von Tarifwerten, die in vorbestimmten Zeitberei- 
chen gultig sind. Die integrierte Echtzeituhr 122 liefert Echtzeitdaten. Der 
Mikroprozessor 120 ubernimmt die Auswertung von Zeitdaten zur tarifab- 
hangigen Ermittlung mindestens eines Verbrauchswertes. Bei vorbe- 
stimmten Ereignissen greift eine CPU 121 des Mikroprozessors 120 auf 
den temporar giiltigen Tarif im SRAM 129 zu, wobei letzteres die Daten 
fur die Abgabegebuhr einer als ASIC 150 ausgebildeten Datenverarbeit- 
ungseinheit ubergibt. Die Abrechnung erfolgt via ASIC 150 in den nicht- 
fliichtigen Speichern NVRAM 114, 116. Fur beide NVRAMs werden aus 
Sicherheitsgrunden zwei unterschiedliche Speichertechnologien einge- 
setzt. In ereignis- und zeitbestimmten Zeitabstanden erfolgt zur Abrech- 
nung eine Bildung einer Nachricht, welche den Verbrauchswert, die Ab- 
gabegebuhr und die Zeitdaten einschlielit, eine Bildung eines Uber- 
prufungscodes und Sichern der Nachricht mittels des Uberprufungscodes. 
Der Uberpufungscode wird von der CPU des Mikroprozessors 120 berech- 
net. Der ASIV 150 nimmt eine Bildung und Aufzeichnung einer Mitteilung 
ml vor, welche die Nachricht und den Oberprufungscode enthalt. In einer 
andereren Variante konnen Aufgaben des ASIC's vom Mikroprozessor 
120 ubernommen werden. Es ist vorgesehen, dass die Sicherung der 
Aufzeichnung des Verbrauchs vorzugsweise am Ende jedes Zeitabschnit- 
tes der Verbrauchszeitdauer erfolgt, wobei die Zeitabschnitte periodisch 
und/oder ereignisbasierend gebildet werden. Ein Eeignis ist beispielswei- 
se ein Tarif- oder Lastwechsel. 
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In grofceren Zeitabstanden fuhrt der Mikroprozessor 120 eine kryptogra- 
phisch Sicherung einer Nachricht und eine Kommunikation mit einem 
entfernten Server 2 durch, zur Ubermittlung der kryptographisch gesicher- 
ten Nachricht in Form eines ersten Datensatzes D1. Die Sicherheitsbox 
200 des Servers 2 verrifiziert und entschlusselt die Nachricht. Nur wenn 
eine Verifizierung die Echtheit der Nachricht ergibt, wird vom Server 2 ein 
Freischaltcode erzeugt. Die Sicherheitsbox 200 des Servers 2 kann den 
Freischaltcode durch Verschlusseln und Signieren sichern. Der Sicher- 
heitsmodul 100 des Verbrauchszahlers 1 kann die Echtheit des Freischalt- 
codes anhand der Signatur des Servers 2 verifizieren. Es ist vorgesehen, 
dass beim Empfangen des kryptographisch gesicherten Freischaltcodes 
eine Aufzeichnung der Anderung der Abgabegebuhr durch Rucksetzen 
auf Null erfolgt, wenn der Freischaltcode echt war sowie dass Sperren der 
Abgabe einer verbuchbaren GroGe bzw. des Verbrauches eines Ver- 
brauchswertes vorgenommen wird, wenn der Freischaltcode unecht ist. 

Ein Verbrauch an festen, flussigen oder gasformigen Grolien erfordert 
speziell angepa&te Zahler, die in erfindungsgema&er Weise ebenfalls mit 
dem Sicherheitsmodul ausgestattet werden. In einem weiteren Einsatzfall 
ist der Verbrauchszahler eine Frankiermaschine. Die verbuchbare Grofte 
ist dann der Frankierwert. Weitere Ausfuhrungen zu weiteren Baugruppen 
des Sicherheitsmoduls sind den Veroffentlichungen EP 1.035.513 A2, EP 
1.035.516 A2, EP 1.035.517 A2, EP 1.035.518 A2, DE 20020635 U1 zu 
entnehmen. Die Auswertung der Uberwachungsfunktionen und krypto- 
graphischen Berechnungen erfolgen im Mikroprozessor. Der erste krypto- 
graphische Algorithmus fur die Erzeugung des Authentisierungscodes fur 
Aufzeichnungsdaten ist beispielsweise eine Hashfunktion. Naturlich kann 
anstelle des Authentisierungscodes auch eine Checksumme oder ein 
nach einem symmetrischen Verschlusselungsalgorithmus gebildeter MAC 
eingesetzt werden. Naturlich kann auch die Abrechnungsfunktion des 
ASIC's 150 vom Mikroprozessor 120 ubernommen oder iiberpruft werden. 

Die Erfindung ist nicht auf die vorliegenden Ausfuhrungsform beschrankt, 
da offensichtlich weitere andere Anordnungen bzw. Ausfuhrungen der 
Erfindung entwickelt bzw. eingesetzt werden konnen, die - vom gleichen 
Grundgedanken der Erfindung ausgehend - von den anliegenden 
Schutzanspruchen umfafit werden. 
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Zusammenfassunq 

Ein Verbrauchszahler (1) mit MelJwertgeber (104,105), Anzeigeeinheit (4) 
mit Sicherheitsmitteln (S1, S2, 18), mit einer Zufuhr- und Abgabe- 
einrichtung (8, 6) und eine Kommunikationseinrichtung (101) wird von 
einem Sicherheitsgehause (10) umschlossen. Der Sicherheitsmodul (100) 
hat einen nichtfluchtigen Speicher (124, 129) zur Speicherung temporar 
gultiger Tarife und ist programmiert, eine Abgabegebuhr basierend auf 
dem Verbrauchswert tarifabhangig zu berechnen. Ein Verfahren zur 
Aufzeichnung eines Verbrauchswertes umfalit eine nichtfluchtige 
Speicherung von Tarifwerten, Analog/Digital-Wandlung und Verarbeitung 
der Me&werte, Liefern und Auswerten von Zeitdaten zur Ermittlung 
mindestens eines Verbrauchswertes, eine tarifabhangige Ermittlung 
mindestens einer Abgabegebuhr entsprechend des vorgenannten Ver- 
brauchswertes, Bildung einer Nachricht, welche mindestens die Abgabe- 
gebuhr einschlie&t, Sichern der Nachricht mittels eines Uberprufungs- 
codes, Aufzeichnung einer Mitteilung (ml), welche die Nachricht und den 
Oberprufungscode enthalt, Kommunikation mit einem entfernten Server 
(2), zur Ubermittlung der kryptographisch gesicherten Nachricht in Form 
eines ersten Datensatzes (D1). 
Fig. 4 
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Patentanspruche 

1. Verfahren zur Aufzeichnung eines Verbrauchswertes, der in Aus- 
wertung von MeBwerten ermittelt wird, umfassend die Schritte: 

- nichtfluchtige Speicherung von Tarifwerten, die in vorbestimmten Zeit- 
bereichen gultig sind, 

- Analog/Digital-Wandlung der Meliwerte und deren Verarbeitung nach 
einem ersten mathematischen Algorithmus, 

- Liefern und Auswerten von Zeitdaten zur zeitabhangigen Ermittlung 
mindestens eines Verbrauchswertes, 

- tarifabhangige Ermittlung mindestens einer Abgabegebuhr entspre- 
chend des vorgenannten Verbrauchswertes, 

- Bildung einer Nachricht, welche mindestens die Abgabegebuhr ein- 
schlieBt, 

- Bildung eines Uberprufungscodes und Sichern der Nachricht mittels 
des Uberprufungscodes, 

- Bildung und Aufzeichnung einer Mitteilung (ml), welche die Nachricht 
und den Uberprufungscode enthalt, 

- Aufnahme einer Kommunikation mit einem entfernten Server (2), zur 
Ubermittlung der kryptographisch gesicherten Nachricht in Form eines 
ersten Datensatzes (D1). 

2. Verfahren, nach Anspruch 1, gekennzeichnet durch 
Wiederholung der Aufnahme einer Kommunikation mit einem entfernten 
Server 2, zur Ubermittlung der kryptographisch gesicherten Nachricht in 
Form eines ersten Datensatzes D1, und bei erfolgloser Wiederholung 
solange, bis ein Kreditrahmen uberschritten ist, sowie Empfangen eines, 
nach dem Uberprufen der Echtheit des ersten Datensatzes (D1) vom 
Server ubermittelten, kryptographisch gesicherten Freischaltcodes in 
Form eines zweiten Datensatzes (D2), Uberprufen der Echtheit des 
Freischaltcodes anhand der Signatur des Servers (2) und Aufzeichnung 
des Ereignisses. 
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3. Verfahren, nach Anspruch 1 , dadurch gekennzeichnet, dass die 
gebiidete Nachricht den Verbrauchswert, die Abgabegebuhr und Zeitdaten 
einschlie&t, dass die Sicherung der Nachricht und die Aufzeichnung des 
Verbrauchs vorzugsweise am Ende jedes Zeitabschnittes der Verbrauchs- 
zeitdauer erfolgt, wobei die Zeitabschnitte periodisch und/oder ereignis- 
basierend gebildet werden. 

4. Verfahren, nach Anspruch 2, dadurch gekennzeichnet, dass 
beim Empfangen des kryptographisch gesicherten Freischaltcodes eine 
Aufzeichnung der Anderung der Abgabegebuhr durch Rucksetzen auf Null 
erfolgt, wenn der Freischaltcode echt war sowie dass ein Sperren der 
Abgabe einer verbuchbaren Grofce bzw. des Verbrauches eines Ver- 
brauchswertes vorgenommen wird, wenn der Freischaltcode unecht ist. 

5. Verfahren, nach Anspruch 1 , dadurch gekennzeichnet, dass bei 
einem Ereignis eine Berechnung der Abgabegebuhr nach dem 
zugehorigen Tarif entsprechend der Verbrauchszeitdauer und bei einer 
Aufzeichnung eine Speicherung der Abgabegebuhr zusammen mit dem 
jeweils zugehorigen aktuellen Verbrauchswert V K erfolgt. 

6. Verfahren, nach Anspruch 5, dadurch gekennzeichnet, dass 
das Ereignis ein Tarif- oder Lastwechsel ist. 

7. Verfahren, nach Anspruch 3, dadurch gekennzeichnet, dass bei 
der Aufzeichnung eine weitere Abspeicherung von Nutzdaten erfolgt, um 
das Benutzerverhalten zu ermitteln bzw. um Marketingdateh abzuleiten. 

8. Verfahren, nach Anspruch 1, dadurch gekennzeichnet, dass 
der Uberprufungscode ein Authentisierungscode ist. 

9. Verfahren, nach Anspruch 8, dadurch gekennzeichnet, dass 
der Authentisierungscode ein Hashcode oder ein nach einem symmetri- 
schen Verschlusselungsalgorithmus gebildeter MAC ist. 
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10. Verbrauchszahler, mit einem MeRwertgeber, dadurch gekenn- 
z e i c h n e t, dass der Verbrauchszahler (1) ein Sicherheitsgehause (10) 
aufweist, welches einen Sicherheitsmodul (100), eine Zufuhr- und 
Abgabeeinrichtung (8, 6) und eine Kommunikationseinrichtung (101) 
umschlieGt, wobei der Sicherheitsmodul (100) mit mindestens einem 
Mefcwertgeber (104, 105) sowie mit Sicherheitsmitteln (S1, S2, 18) 
verbunden ist, dass der Sicherheitsmodul (100) einen nichtfluchtigen 
Speicher (124, 129) zur Speicherung temporar gultiger Tarife aufweist und 
programmiert ist, eine Abgabegebuhr basierend auf dem Verbrauchswert 
tarifabhangig zu berechnen und auf ein Ansprechen der Sicherheitsmittel 
(S1, S2, 18) sowie auf Werte der Me&wertgeber (104, 105) zu reagieren, 
welche eine Manipulation in Falschungsabsicht signalisieren. 



11. Verbrauchszahler, nach Anspruch 10, dadurch gekennzeich- 
n e t, dass der Verbrauchszahler (1) mindestens einen Analog/Digital- 
Wandler (102, 103) aufweist, der mit dem mindestens einen MeB- 
wertgeber (104, 105) verbunden ist und dass der Sicherheitsmodul (100) 
eine Uberwachungsfunktion aufweist, um zu uberprufen, ob der Zahler 
abgeklemmt wurde oder nicht. 

12. Verbrauchszahler, nach Anspruch 10, dadurch gekennzeich- 
n e t, dass das Sicherheitsmodul (100) einen Analog/Digital-Wandler 
(127) aufweist, der mit den Meftwertgebern (104, 105) verbunden ist und 
dass der Sicherheitsmodul (100) eine Uberwachungsfunktion aufweist, um 
zu uberprufen, ob der Zahler abgeklemmt wurde oder nicht. 

13. Verbrauchszahler, nach Anspruch 10, dadurch gekennzeich- 
n e t, dass das Sicherheitsmodul (100) einen Echtzeitzahler (122) 
aufweist und dass der Sicherheitsmodul (100) die Funktion eines Watch 
dog Timers aufweist, um regelmaRig Zahlerstande an einen Server (2) zu 
ubermitteln. 



14. Verbrauchszahler, nach Anspruch 10, dadurch gekennzeich- 
n e t, dass das Sicherheitsmodul (100) einen Echtzeitzahler (122) 
aufweist und dass ein Mikroprozessor (120) des Sicherheitsmoduls (100) 
auf den temporar gultigen Tarif zugreift, der im nichtfluchtigen Speicher 
(124, 129) gespeichert ist und programmiert ist, eine Abgabegebuhr 
basierend auf dem Verbrauchswert tarifabhangig zu berechnen. 

15. Verbrauchszahler, nach Anspruch 10, dadurch gekennzeich- 
n e t, dass die Kommunikationseinrichtung (101) ein ISDN-Modul ist, der 
uber ein Telefonnetz mit dem Server (2) kommunikativ verbunden ist. 

16. Verbrauchszahler, nach Anspruch 10, dadurch gekennzeich- 
n e t, dass die Kommunikationseinrichtung (101) ein Power-line-Modul ist, 
der uber ein Enegierversorgungsnetz mit dem Server (2) kommunikativ 
verbunden ist. 



17. Verbrauchszahler, nach Anspruch 10, dadurch gekennzeich- 
n e t, dass die Kommunikationseinrichtung (101) ein Blue-Tooth-Modul 
ist, der drahlos uber einen weiteren Blue-Tooth-Modul mit dem Server (2) 
kommunikativ verbunden ist. 



18. Verbrauchszahler, nach Anspruch 17, dadurch gekennzeich- 
n e t, dass der Blue-Tooth-Modul drahlos mit einem weiteren Blue-Tooth- 
Modul verbunden ist, wobei letzterer uber ein Telefonnetz mit dem Server 
(2) kommunikativ verbunden ist. 



19. Verbrauchszahler, nach Anspruch 10, dadurch gekennzeich- 
n e t, dass die Kommunikationseinrichtung (101) im Sicherheitsmodul 
(100) integriert ist. 



20. Verbrauchszahler, nach den Anspruchen 10 bis 19, dadurch ge- 
kennzeichnet, dass der Verbrauchszahler (1) eine 
Frankiermaschine ist. 
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